對(duì)于發(fā)現(xiàn)資產(chǎn)中已知漏洞、配置不當(dāng)?shù)葐?wèn)題的工具，大家習(xí)慣性稱之為“漏洞掃描”工具，但隨著技術(shù)演進(jìn)，很多工具越來(lái)越智能，逐漸具備分析總結(jié)能力，因此將它們稱為“漏洞評(píng)估”工具似乎更準(zhǔn)確。

大多數(shù)漏洞評(píng)估工具都能覆蓋常規(guī)漏洞，例如OWASP Top10，但一般都各有所長(zhǎng)。常見的區(qū)分維度包括部署靈活性、掃描速度、掃描準(zhǔn)確度以及與流程管理、代碼開發(fā)等平臺(tái)的整合性。如果不考慮license的限制和成本，很多團(tuán)隊(duì)都會(huì)選擇同時(shí)部署多款工具。本文推薦的開源工具能與主流的流程管理平臺(tái)集成，輸出包含優(yōu)先級(jí)的處置分析報(bào)告，而且這些工具仍有團(tuán)隊(duì)在積極維護(hù)。

另外，針對(duì)容器方向的漏洞評(píng)估工具，盡管有一些新工具出現(xiàn)，如Anchore,Clair?, Dagda，Trivy，但大量用戶反映這些工具存在功能不全、整合性差等問(wèn)題，因此考慮到易用性，本文僅推薦OSV-Scanner、OpenSCAP、ZAP這幾款支持或包含一部分容器安全掃描功能的開源工具。

OSV-Scanner（開源代碼掃描）

傳送門：??OSV-Scanner??

OSV Scanner由谷歌團(tuán)隊(duì)開發(fā)，發(fā)布于2022 年 12 月 13 日。開源市場(chǎng)也不乏能有效掃描靜態(tài)代碼漏洞的SCA（軟件成分分析）工具。但作為“新秀”，OSV從OSV.dev 開源漏洞數(shù)據(jù)庫(kù)中提取并適用于不同的生態(tài)系統(tǒng)，其漏洞來(lái)源和支持的語(yǔ)言更加廣泛，可以很好地為DevOps 團(tuán)隊(duì)降本增效。

主要功能：

• 依賴項(xiàng)和漏洞定位
• 以JSON格式存儲(chǔ)受影響版本的信息，便于開發(fā)集成
• 掃描目錄、軟件物料清單（SBOM）、鎖定文件、基于Debian的docker鏡像或在Docker容器中運(yùn)行的軟件

優(yōu)：

• 漏洞提取來(lái)源廣泛，包括Apine, Android, crates.io, Debian, Go, Linux, Maven, npm, NuGet, OSS-Fuzz, Packagist, PyPl, RubyGems等等
• 報(bào)告結(jié)果精煉，節(jié)約處置時(shí)間
• 可以根據(jù)漏洞ID忽略漏洞，提高處置效率
• 目前谷歌仍在積極開發(fā)中，可以期待更多與時(shí)俱進(jìn)的新功能

劣：

與開發(fā)者工作流集成、發(fā)現(xiàn)C/C++漏洞等功能不完善；

在某些編程語(yǔ)言的漏洞檢測(cè)中可能弱于一些早期的開源SCA工具：

• Bandit: Python 
• Brakeman: Ruby on Rails 
• VisualCodeGrepper: C, C++, C#, VP, PHP, Java, PL/SQL, Cobol 

Sqlmap（數(shù)據(jù)庫(kù)掃描）

傳送門：??Sqlmap??

一些DevOps團(tuán)隊(duì)會(huì)在后端數(shù)據(jù)庫(kù)與代碼hook之前對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全掃描。Sqlmap就是其中的代表工具。

主要功能：

• 自動(dòng)識(shí)別密碼哈希值
• 用Python開發(fā)，可以在任何有Python解釋器的系統(tǒng)上運(yùn)行
• 可以通過(guò)DBMS憑證、IP地址、端口和數(shù)據(jù)庫(kù)名稱直接連接到數(shù)據(jù)庫(kù)進(jìn)行測(cè)試
• 完全支持的數(shù)據(jù)庫(kù)管理系統(tǒng)達(dá)35個(gè)以上，包括MySQL、Oracle、Postgre SQL、Microsoft SQL Server、IBM DB2、Sybase、SAP MaxDB、Microsoft Access、Amazon Redshift、Apache Ignite等等
• 具備六類SQL注入技術(shù)：布爾盲注、時(shí)間盲注、報(bào)錯(cuò)盲注、聯(lián)合查詢注入、堆查詢注入和帶外注入

優(yōu)：

• 支持密碼爆破
• 能搜索特定的數(shù)據(jù)庫(kù)名和表名
• 支持執(zhí)行任意命令并檢索數(shù)據(jù)庫(kù)服務(wù)器底層操作系統(tǒng)上的標(biāo)準(zhǔn)輸出

劣：

• 命令行工具沒有圖形用戶界面
• 過(guò)于專業(yè)，需要數(shù)據(jù)庫(kù)方面的專業(yè)知識(shí)才能有效使用

Wapiti（SQL注入檢測(cè)）

傳送門：??Wapiti??

Wapiti是一款針對(duì)應(yīng)用的黑盒掃描工具，采用fuzzing技術(shù)，在腳本中注入payload來(lái)發(fā)現(xiàn)常見漏洞。

主要功能：

• 支持GET和POST的HTTP攻擊方法
• 針對(duì)SQL注入（SQLi）、XPath注入、跨站腳本（XSS）、文件泄露、XXE注入、文件夾和文件枚舉等的模塊測(cè)試
• 支持HTTP、HTTPS和SOCKS5
• 通過(guò)Basic、Digest、NTLM或GET/POST對(duì)登錄表單進(jìn)行認(rèn)證
• 可掃描域、文件夾、頁(yè)面和URL

優(yōu)：

• 覆蓋漏洞類型更廣
• 測(cè)試各類潛在漏洞
• 不少測(cè)試顯示W(wǎng)apiti比其他開源工具（如ZAP）能檢測(cè)到更多SQL注入和盲注漏洞

劣：

• 命令行工具無(wú)圖形界面
• 熟練操作需要大量專業(yè)知識(shí)背景

ZAP (OWASP Zed Attack Proxy) （XSS檢測(cè)）

傳送門：??ZAP??

OWASP的Zed攻擊代理（ZAP）在瀏覽器和web應(yīng)用之間，以代理身份攔截請(qǐng)求，并通過(guò)模擬用戶和黑客行為，如修改內(nèi)容、轉(zhuǎn)發(fā)數(shù)據(jù)包等進(jìn)行安全測(cè)試。

主要功能：

• 支持主流操作系統(tǒng)和Docker
• 能快速啟動(dòng)Docker包掃描
• 支持自動(dòng)化框架
• 支持全量API
• 支持手動(dòng)或自動(dòng)

優(yōu)：

• OWASP團(tuán)隊(duì)仍在積極維護(hù)
• 命令行界面有圖形界面
• 完善的學(xué)習(xí)曲線和操作文檔
• 適合各類水平用戶
• XSS漏洞檢測(cè)表現(xiàn)突出
• 支持fuzzing測(cè)試
• ZAP在滲透測(cè)試從業(yè)者中非常流行，因此熟悉ZAP有利于從攻擊角度發(fā)現(xiàn)漏洞

劣：

• 有些功能需裝插件
• 需要一些專業(yè)知識(shí)
• 誤報(bào)比很多商業(yè)產(chǎn)品高

CloudSploit（云資源安全掃描）

傳送門：??CloudSploit??

Aqua公司開源了CloudSploit的核心掃描引擎，供廣大用戶下載、更改和使用。CloudSploit支持按需掃描也可配置為持續(xù)運(yùn)行，并及時(shí)告警。

主要功能：

• 采用RESTful API
• API可以從命令行、腳本或構(gòu)建系統(tǒng)（Jenkins、CircleCL、AWS CodeBuild等）調(diào)用
• 讀寫控制器可以為每個(gè)API密鑰提供特定權(quán)限
• 每個(gè)API調(diào)用都是可以單獨(dú)追蹤的
• 對(duì)AWS、Azure和Google云進(jìn)行持續(xù)的CIS基準(zhǔn)審計(jì)
• 持續(xù)掃描可以在云基礎(chǔ)設(shè)施發(fā)生變化時(shí)發(fā)出告警，這些變化可能存在安全隱患，如安全組更改、出現(xiàn)新的受信任的SSH密鑰、MFA設(shè)備停用、刪除日志等。

優(yōu)：

• 掃描結(jié)果實(shí)時(shí)
• 通過(guò)HMAC-SHA256簽名實(shí)現(xiàn)API密鑰認(rèn)證
• 秒級(jí)掃描95種以上的安全風(fēng)險(xiǎn)類型
• 直觀的web界面
• 支持HIPAA和PCI DSS合規(guī)框架
• 支持通過(guò)Slack、Splunk、OpsGenie、Amazon SNS、郵件等發(fā)送告警

劣：

• 無(wú)法通過(guò)GitHub獲取
• 自動(dòng)推送、一些報(bào)告工具和一些整合功能可能只在付費(fèi)產(chǎn)品中提供

Firmwalker （物聯(lián)網(wǎng)）

傳送門：??Firmwalker??

有些開源團(tuán)隊(duì)開發(fā)了很多安全工具來(lái)掃描網(wǎng)絡(luò)設(shè)備和物聯(lián)網(wǎng)（IoT）的固件，但漏洞掃描器比較少。Firmwalker可以搜索提取或裝好的固件，并報(bào)告潛在漏洞。

主要功能：

• 可搜索SSl相關(guān)文件和etc/ssl目錄
• 可搜索配置、腳本和pin文件
• 能識(shí)別admin、password和remote等關(guān)鍵詞
• 可搜索URL、電子郵件地址和IP地址

優(yōu)：

• 對(duì)物聯(lián)網(wǎng)、網(wǎng)絡(luò)、OT和其他固件進(jìn)行安全審計(jì)
• 可找到異常文件、嵌入式密碼或隱藏的URL
• 支持以bash腳本運(yùn)行

劣：

• 需要一些編程知識(shí)才能有效使用
• 沒有圖形用戶界面
• 目前對(duì)Shodan API的支持仍在實(shí)驗(yàn)階段

Nikto2（Web Server）

傳送門：??Nikto2??

Nikto2是一個(gè)開源的web server掃描器，可發(fā)現(xiàn)風(fēng)險(xiǎn)文件、程序、錯(cuò)誤配置。用戶也可在Kali Linux訪問(wèn)Nikto。

主要功能：

• 覆蓋6700余種風(fēng)險(xiǎn)文件和程序
• 覆蓋1250余個(gè)舊服務(wù)器版本和270種版本問(wèn)題
• 支持檢測(cè)多種索引文件、HTTP server options
• 驗(yàn)證已安裝的web服務(wù)器和軟件
• 支持憑證破解
• 具備降低誤報(bào)技術(shù)
• 報(bào)告格式支持TST、XML、HTML、NBE或CSV

優(yōu)：

• 小巧輕便但功能強(qiáng)大
• 支持文件的輸入和輸出
• 掃描項(xiàng)目和插件經(jīng)常更新（自動(dòng)更新）
• 對(duì)web服務(wù)器的常見問(wèn)題進(jìn)行標(biāo)記
• SSL支持Unix和Windows操作系統(tǒng)，支持HTTP代理
• 可選擇部署編碼技術(shù)，用于入侵檢測(cè)系統(tǒng)（IDS）的繞過(guò)和測(cè)試

劣：

• 沒有界面，只有命令行
• 過(guò)于具體，初學(xué)者可能會(huì)困惑
• 搜索功能比一些商業(yè)產(chǎn)品略遜色
• 全面掃描需耗時(shí)45分鐘以上

OpenSCAP（合規(guī)類）

傳送門：??OpenSCAP??

OpenSCAP是一個(gè)Linux平臺(tái)的開源框架，對(duì)標(biāo)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）維護(hù)的安全內(nèi)容自動(dòng)化協(xié)議（SCAP），實(shí)施合規(guī)評(píng)估。OpenSCAP支持掃描web應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)和主機(jī)。與絕大部分CVE掃描器不同，OpenSCAP根據(jù)SCAP的標(biāo)準(zhǔn)執(zhí)行安全測(cè)試。

主要功能：

• 漏洞評(píng)估
• 訪問(wèn)公共漏洞數(shù)據(jù)庫(kù)
• OpenSCAP Base提供經(jīng)NIST認(rèn)證的命令行掃描工具，以及圖形用戶界面便于使用
• OpenSCAP Daemon可根據(jù)SCAP標(biāo)準(zhǔn)對(duì)基礎(chǔ)設(shè)施進(jìn)行持續(xù)掃描
• 其他OpenSCAP工具提供桌面掃描、掃描結(jié)果匯總等功能
• 支持整合系統(tǒng)管理解決方案，如Red Hat Satellite 6、RH Access Insights等
• Atomic Scan選項(xiàng)可掃描容器的安全漏洞和合規(guī)問(wèn)題。

優(yōu)：

• 快速發(fā)現(xiàn)安全問(wèn)題并即時(shí)糾正
• 獲Red Hat和其他開源廠商的大力支持
• 結(jié)合了安全漏洞和合規(guī)性掃描
• 可掃描docker鏡像

劣：

• 學(xué)習(xí)難度高于同類工具
• OpenSCAP包含多款工具，更為復(fù)雜
• 用戶首先需了解與自身相關(guān)的政策條款
• 很多工具只能在Linux上運(yùn)行，有些甚至只能在特定的Linux發(fā)行版上運(yùn)行

OpenVAS （終端和網(wǎng)絡(luò)）

傳送門：??OpenVAS??

Nessus是Tenable發(fā)布的一款全球領(lǐng)先的漏洞評(píng)估產(chǎn)品。而OpenVAS是Nessus的一個(gè)開源分支，功能豐富，漏洞來(lái)源廣泛，可對(duì)傳統(tǒng)端點(diǎn)和網(wǎng)絡(luò)進(jìn)行大規(guī)模的漏洞評(píng)估。

主要功能：

• 發(fā)現(xiàn)系統(tǒng)的已知漏洞和缺失補(bǔ)丁
• 具備web管理控制臺(tái)
• 可安裝在任何本地或云服務(wù)器
• 具備漏洞分析能力，輸出如何修復(fù)漏洞或攻擊者如何利用該漏洞等信息

優(yōu)：

• Greenbone積極維護(hù)中
• 覆蓋很多CVE漏洞
• 定期更新漏洞數(shù)據(jù)庫(kù)
• 已形成大型社區(qū)，供用戶交流
• 可隨著企業(yè)發(fā)展從社區(qū)版升級(jí)到Greenbone企業(yè)版或Greenbone云服務(wù)

劣：

• 需要一定專業(yè)知識(shí)。
• 大量并發(fā)掃描會(huì)使程序崩潰
• 沒有策略管理
• Greenbone社區(qū)版只掃描基本的端點(diǎn)資產(chǎn)或家庭應(yīng)用產(chǎn)品，如Ubuntu Linux，MS Office等（掃描企業(yè)設(shè)備或獲取策略權(quán)限需升級(jí)到付費(fèi)的Greenbone企業(yè)版）

Nmap（網(wǎng)絡(luò)和端口）

傳送門：??Nmap??

Nmap支持絕大多數(shù)操作系統(tǒng)，通過(guò)IP數(shù)據(jù)包掃描設(shè)備端口并確定被檢查的資產(chǎn)有哪些主機(jī)、服務(wù)和操作系統(tǒng)，是滲透測(cè)試人員和IT團(tuán)隊(duì)必不可少的工具之一。

主要功能：

• 快速發(fā)現(xiàn)IP地址
• 通過(guò)TCP/IP協(xié)議猜測(cè)設(shè)備操作系統(tǒng)
• 持續(xù)更新的500個(gè)腳本庫(kù)，用于提高性能

優(yōu)：

• 快速掃描系統(tǒng)上的開放端口，確定可用的TCP/UDP服務(wù)
• 通過(guò)端口測(cè)試確定運(yùn)行的協(xié)議、應(yīng)用類型和版本號(hào)
• 用戶群龐大，開源社區(qū)成熟

劣：；

• 沒有正式的客戶支持
• 需要一些專業(yè)知識(shí)背景

參考資料：https://www.esecurityplanet.com/applications/open-source-vulnerability-scanners/